Hallo,

1. überprüfen, ob in den übermittelten Feldern nicht eine verkappte SQL-Anfrage steht, also nur die Zeichen zulassen, die für Namen und Passworte ungefäjrlich sind.

2. Die überprüfung in der DB
Verbindungsaufbau zur Datenbank,
$sqlstr= "select WEITERLEITUNG from logintable where '$pw'=PASSWORD and '$loginname'=LOGINNAME".
$res = mysql_query($sqlstr,$con);

3. überprüfen, ob es GENAU EIN Ergebnis gibt
if ($res() and (mysql_num_rows($res)==1)
{
  $row=mysql_fetch_array($res);
  if(strlen($row["WEITERLEITUNG"])>0)
  {
    header("Location: ".$row["WEITERLEITUNG"]);
  }
  else
  {
    header("Location: http://www.domain.de/fehlerseite.html);
  }
}

In der DB würde ich auf die Felder PASSWORD und LOGINNAME einen Kombinationsindex unique legen, damit jede Kombination nur einmal eingetragen werden kann.

Grüße

Tom